How difficult is the Splunk SPLK-5001 Cybersecurity Defense Analyst exam?

The SPLK-5001 exam is 90 minutes long with approximately 65 single-choice and multiple-choice questions, requiring a 70% passing score. It focuses on using Splunk for cybersecurity defense analysis, including threat detection, security event investigation, and MITRE ATT&CK framework application. Hands-on experience in security analysis and Splunk SPL queries is required.

What core knowledge domains does the SPLK-5001 exam cover?

The exam primarily tests security monitoring and threat detection using Splunk, security event investigation and analysis methodologies, MITRE ATT&CK framework application in Splunk, Splunk Enterprise Security (ES) feature usage, security data source management (firewall logs, endpoint logs, network traffic, etc.), and security compliance report generation.

Does the exam require knowledge of the MITRE ATT&CK framework?

Yes, the MITRE ATT&CK framework is a significant component of the exam. You need to understand Tactics and Techniques in the ATT&CK matrix, be able to map security events to the ATT&CK framework, and use Splunk to create ATT&CK-based detection rules and dashboards.

How does SPLK-5001 relate to Splunk Enterprise Security (ES)?

The SPLK-5001 exam involves using Splunk Enterprise Security, but you are not required to be an ES administrator. You need to understand core ES features such as Notable Events, Risk-Based Alerting, security posture dashboards, and investigation workflows. The focus is on how to use these tools as a security analyst for threat analysis.

What prerequisites are recommended for SPLK-5001?

It is recommended to have Splunk basic search and SPL query skills (at least Splunk Core User level), foundational cybersecurity knowledge (network protocols, common attack types, log analysis), and familiarity with MITRE ATT&CK framework concepts. SOC analyst work experience will greatly help with preparation.

How can I effectively prepare for the Splunk SPLK-5001 exam?

Start by strengthening your Splunk SPL query skills, then focus on security analysis methodologies and the MITRE ATT&CK framework. Use our platform's 65+ practice questions for systematic training, paying special attention to threat detection scenarios, security event investigation workflows, and security-focused SPL query writing. Practicing with the Splunk Boss of the SOC (BOTS) dataset is highly effective.

其他专业级📊 数据

Splunk Cybersecurity Defense Analyst

验证使用 Splunk 进行网络安全防御分析的能力，涵盖威胁检测、安全事件调查、MITRE ATT&CK 框架应用和 Splunk ES 使用，面向 SOC 分析师的实战认证。

Start Practice Browse Learning Path

Exam Fee

Questions

90m

Exam Duration

70/100

Passing Score

Bottom line · It depends

Splunk 2024 年新推的安全分析师认证 — SOC L1/L2 在用 Splunk ES 做日常安全监控的人考这张，纯 IT 运维或不用 Splunk 的安全工程师跳过。

MEMBERSHIP

JR Academy Membership

Unlock all certifications, courses & tools at a fraction of the cost

All certification exam prep included
Course discounts up to 50%
AI tools & Chrome extensions
Priority 1-on-1 coaching

View Membership Plans

What this certification covers

This page is structured for quick scanning first: exam format, fit, prep time, and the actual study scope.

Splunk Certified Cybersecurity Defense Analyst (SPLK-5001) 是 Splunk 2024 年新发布的认证，取代旧的 Splunk Certified Security Analytics Professional 路径。考试验证使用 Splunk 平台（包括 Splunk Enterprise Security / ES）进行安全监控、威胁检测和事件调查的能力。

考试规格：65 题 / 90 分钟，及格 70/100，考试费免费（Splunk 认证改革后部分考试免费），有效期 3 年。

六大考纲领域：

安全概念与威胁情报 — 15%：安全事件生命周期、IOC/IOA 概念、MITRE ATT&CK 战术与技术映射
Splunk 安全监控 — 25%：SPL 安全查询（stats/timechart/rare 做异常检测）、安全数据源（Windows Event Log、Syslog、Firewall log）解析
Splunk ES 使用 — 20%：Notable Events 审查、Risk-Based Alerting (RBA)、安全态势仪表板、Investigation 功能
安全事件调查 — 20%：日志关联分析、横向移动检测（PsExec/WMI/RDP 跳板）、账户泄露分析
告警与响应 — 12%：告警创建策略、自适应响应动作（Adaptive Response Actions）、SOAR 集成
合规与报告 — 8%：安全 KPI 仪表板、合规数据收集

和 SPLK-1001/1002/1003 的区别：SPLK-1001 (Core User) 考基础 SPL 搜索；SPLK-1002 (Power User) 考高级 SPL + 数据模型；SPLK-1003 (Admin) 考 Splunk 平台管理。SPLK-5001 专门考安全分析，假设你已有 Power User 水平的 SPL 能力，在此基础上叠加安全领域知识。

You will work with

SPL 安全查询编写与异常检测MITRE ATT&CK 框架应用与威胁映射Splunk Enterprise Security（ES）Notable Events 审查安全事件调查与横向移动检测账户泄露与内部威胁分析网络流量异常检测（DNS 隧道、数据外泄）Risk-Based Alerting（RBA）告警分析安全仪表板设计与 KPI 报告Splunk Boss of the SOC（BOTS）实战分析

After preparation

掌握使用 Splunk SPL 进行威胁检测和安全异常分析的核心技能
能够将安全事件映射到 MITRE ATT&CK 框架并制定针对性检测规则
熟练使用 Splunk Enterprise Security 进行 Notable Events 审查和安全调查
自信通过 Splunk Cybersecurity Defense Analyst（SPLK-5001）认证考试

Exam details

Exam Code

SPLK-5001

Provider

其他认证机构

Duration

90 minutes

Question Count

65 questions

Passing Score

70/100

Validity

3 years

Exam Fee

$0 USD

Question Types

single-choice, multiple-choice

Languages

English

Official Page

Open AWS page

Who should take it

Good fit

在 SOC 使用 Splunk 进行日常安全监控和事件响应的安全分析师（L1/L2）
希望通过 Splunk 认证验证安全分析能力、提升职业竞争力的网络安全工程师
已持有 Splunk Core Certified User 并向安全分析方向发展的 Splunk 专业人员
计划从 IT 运维或系统管理转型到 SOC 安全分析师岗位的技术人员

Before you start

掌握 Splunk 基础搜索和 SPL 查询语言（Splunk Core Certified User 水平或同等能力）
具备网络安全基础知识：常见攻击类型（网络扫描、钓鱼、勒索软件）、日志分析基础
了解 MITRE ATT&CK 框架的基本概念（Tactics、Techniques、Procedures）
熟悉常见安全数据源：防火墙日志、Windows 事件日志、网络流量（NetFlow）、DNS 日志

Is it worth it? Career value

Salary ranges, target job titles, and the real career impact of holding Splunk SPLK-5001.

澳洲

$100K-150KAUD

美国

$85K-140KUSD

中国

¥200K-400KCNY

新加坡

$72K-120KSGD

SOC Analyst (L1/L2)Security AnalystSplunk Security EngineerThreat Detection AnalystSIEM Engineer (Splunk)安全运营分析师SIEM 工程师

Splunk 在 SIEM 市场的地位：Gartner 2025 Magic Quadrant for SIEM 里 Splunk（现归 Cisco）仍在 Leaders 象限。全球 SIEM 市场 Splunk 份额约 25-30%，尤其在美国和澳洲的金融/政府/电信行业渗透率高。

SPLK-5001 的价值：SOC Analyst 岗位 JD 里最常见的两个关键词是"Splunk"和"MITRE ATT&CK"。这张认证同时覆盖两者。Indeed 2025 数据，美国标注 "Splunk" 的安全岗位约 1.2 万条，其中 60%+ 在 SOC Analyst / Security Analyst 级别。

薪资数据：Salary.com 2025，美国 SOC Analyst L2 $90-110K，带 Splunk ES 经验 + SPLK-5001 证可到 $115-140K；澳洲 SOC Analyst $95-130K AUD，Senior 到 $140-155K AUD。

不适合考的人：不用 Splunk 的安全工程师 — 如果你的 SIEM 是 Microsoft Sentinel、QRadar 或 Elastic SIEM，学 SPLK-5001 的 SPL 查询和 Splunk ES 操作在你日常工具上完全用不上。这类人考 CompTIA CySA+ 或对应平台认证更实际。

Study preparation

With hands-on AWS

4-6 weeks

From scratch

10-14 weeks

Daily pace

1-2 hours/day

Learning path preview

3 chapters

Splunk 网络安全分析师认证概览：安全概念与 MITRE ATT&CK

40 min

SPL 安全查询、威胁检测与 Splunk ES 使用

90 min

安全事件调查、仪表板设计与综合模拟考试

100 min

Step-by-step preparation

A concrete week-by-week plan from past test-takers — not generic advice.

第一阶段：SPL 安全查询 + 数据源（2-3 周）

前提：SPLK-1002 (Power User) 级别的 SPL 能力。如果 SPL 基础薄弱，先补 `stats`、`timechart`、`eval`、`rex`、`lookup` 命令。安全查询重点：`| tstats` 加速搜索数据模型、`| stats count by src_ip dest_ip` 检测异常通信模式、`| rare` 发现低频异常事件、`| transaction` 关联同一会话的多条日志。安全数据源：Windows Security Event Log (4624/4625/4688/4720)、Syslog (firewall/IDS)、Web Access Log。

第二阶段：Splunk ES + MITRE ATT&CK（2-3 周）

Splunk ES (Enterprise Security) 是考试核心。在 Splunk Cloud trial 或 Splunk 免费版 + SA-ES app 上练习。关键操作：Notable Events 审查工作流（New → In Progress → Resolved → Closed）、Risk-Based Alerting 的 risk_score 计算逻辑、Threat Intelligence Framework (TIF) 的 IOC 导入与匹配。MITRE ATT&CK 部分：14 个 Tactics（Reconnaissance → Impact）的名称和典型 Techniques 必须认识，考试会给一个攻击描述让你判断属于哪个 Tactic。

第三阶段：事件调查场景 + 刷题冲刺（1-2 周）

安全事件调查 20% 权重 — 考题给一个场景（如"发现异常 RDP 登录"），问你下一步用什么 SPL 查询、查什么数据源、怎么判断横向移动。练习方法：Splunk BOTS (Boss of the SOC) 数据集是免费的 CTF 练习，v1/v2/v3 都有，做 1-2 套 BOTS 题目能覆盖大部分考试调查场景。最后 1 周刷 Splunk 官方 practice exam + 社区题。

Real test-taker experiences

What it actually took for real candidates to pass — prep time, scores, and lessons learned.

日常用 Splunk ES 值班 2 年。考 SPLK-5001 最意外的是 **Risk-Based Alerting (RBA)** 考得很细 — 我平时只看 Notable Events，从没配过 risk_score 规则。真考 3-4 道题问 RBA 的 risk_object 和 risk_score 累加逻辑。建议在 Splunk docs 里把 RBA 那几页读透。

A. Sharma82/100

SOC Analyst L2 (MSSP, 澳洲) · 5 weeks prep

有安全背景但 Splunk 只用了半年。最难的是 **SPL 安全查询要写得又快又准** — 考试 90 分钟 65 题，有些题给一段 SPL 让你判断"这个查询检测的是什么攻击行为"，不熟 SPL 管道操作符的人会在这类题上卡住。建议先拿下 SPLK-1002 再来考 5001。

某金融公司安全工程师78/100

SIEM Engineer（深圳） · 8 weeks prep

Certification comparison

	Splunk SPLK-5001	Splunk SPLK-1002	Splunk SPLK-1003
Provider	其他	其他	其他
Level	专业级	助理级	助理级
Fee	$0	$0	$0
Duration	90 min	90 min	90 min
Question count	65	65	65
Validity	3 yrs	3 yrs	3 yrs

Study tips and common mistakes

💡

**Splunk BOTS 是最好的免费练习** — Boss of the SOC CTF 数据集 (v1/v2/v3) 涵盖的安全调查场景和考试高度重叠。做 1-2 套能显著提分。

💡

**90 分钟 65 题时间偏紧** — SPL 分析题需要逐行读查询，不能跳。建议概念题 60 秒以内，SPL 分析题 2 分钟。

💡

**考试免费但需要 Splunk 账号** — 在 splunk.com/certification 注册，通过 Pearson VUE 预约。免费政策可能随时变化，约考前确认。

⚠️

**MITRE ATT&CK Tactics 顺序记错** — 14 个 Tactics 有严格的攻击链顺序：Reconnaissance → Resource Development → Initial Access → Execution → Persistence → Privilege Escalation → Defense Evasion → Credential Access → Discovery → Lateral Movement → Collection → C2 → Exfiltration → Impact。考题给一个攻击行为让你选 Tactic，顺序搞混就选错。

⚠️

**Notable Event 和 Alert 混淆** — Alert 是 Splunk 基础告警（saved search + 触发条件），Notable Event 是 Splunk ES 的安全事件概念（Correlation Search 触发后生成），有独立的审查工作流和 urgency/severity 字段。两者不是一个东西。

⚠️

⚠️

**Windows Event ID 记不住** — 高频考的：4624 (成功登录)、4625 (失败登录)、4688 (新进程创建)、4720 (新用户创建)、4732 (用户加入本地组)、1102 (审计日志清除)。至少这 6 个必须能和安全场景对应。

FAQ

Frequently Asked Questions

If you plan to take Splunk SPLK-5001, start with real practice.

65+ questions, chapter-by-chapter learning, mock exams, wrong-question review, and AI tutor support live in the exam page.

Go to exam prep

From $39 · 2 free chapters